Een op de zes ondernemers in het midden- en kleinbedrijf (MKB) heeft te maken met digitale criminaliteit en vormen van cyberfraude, volgens onderzoek van de Kamer van Koophandel. Deloitte heeft 2,5 jaar geleden voor het laatst becijferd dat het MKB 1 miljard euro schade heeft geleden door internetcriminaliteit. “Ondernemers moeten hun digitale veiligheid meer prioriteit geven,’’ stelt Joris den Bruinen, directeur van The Hague Security Delta (HSD).
Steeds vaker krijgen bedrijven en instellingen te maken met ransomware-aanvallen; hackers maken de software ontoegankelijk en geven deze pas vrij als er losgeld is betaald. De universiteit van Maastricht is er een recent voorbeeld van. Medewerkers konden niet meer bij wetenschappelijke informatie komen, het e-mail verkeer lag plat en de Window-systemen vielen stil.
Een paar jaar ervoor, in 2017, heeft het logistiek bedrijf Maersk een cyberaanval te verduren gehad. Het complete werk van het containerbedrijf lag in de zomer van dat jaar enkele weken stil doordat een computervirus alle computerlijnen had uitgeschakeld.
De gevolgen waren groot. Niet alleen Maersk had te maken met een miljoenenverlies, de hele keten van toeleveranciers tot afnemers, raakte gedupeerd. Maersk moest na de cyberaanval alle computers vervangen. Daarnaast zat zij opgescheept met kosten voor bijvoorbeeld onderzoek naar wat er precies was gebeurd, juridische kosten en kosten voor eigen werknemers. Directe kosten die nog losstaan van de productieschade. “En dan hebben we het over een miljoenenbedrijf. Als een MKB ‘er zoiets overkomt, gaat hij failliet,’’ zegt Joris den Bruinen.
HSD
Den Bruinen is directeur van de Stichting HSD, een snelgroeiend netwerk dat de digitale veiligheid in Haaglanden faciliteert. De uitvoeringsorganisatie HSD Office bevindt zich op de HSD Campus in Den Haag. De stichting telt inmiddels bijna driehonderd partners. Verschillende zijn gevestigd op de HSD-campus.
Bedrijven, overheden en kennisinstellingen vormen het netwerk. De partners onderzoeken hoe het is gesteld met de cyberveiligheid van bedrijven, ze delen kennis om bedrijven ‘cyberweerbaar’ te maken en spannen zich in om te komen tot innovatieve oplossingen.
“De bakker om de hoek zal niet failliet gaan als zijn website wordt gehackt. Zijn winkel draait wel door. Maar het komt ook voor dat een ondernemer failliet gaat na een aanval,’’ zegt Den Bruinen in het kantoor op de zevende etage van het kantoorgebouw Head Quarter naast station Laan van NOI. “Maar als een garagehouder een virus in zijn software krijgt, kan hij niet meer bij zijn klantgegevens, zijn planning, het uitbetalen van salarissen blijft uit. Dan ga je failliet. Voor een webwinkel die wordt gehackt, ligt faillissement ook eerder op de loer.’’
Risico-analyse
Voor MKB ‘ers is het dus zaak een goede risico-analyse van het digitale systeem te maken. Daarvoor heeft HSD bijvoorbeeld met de gemeente Den Haag, het ROC Mondriaan en de Haagse Economic Board – denktank en aanjager van de economie – een onderwijsproject op het ZKD-bedrijventerrein in Den Haag Zuidwest op touw gezet. MBO-leerlingen van het ROC Mondriaan ontwikkelden een scan waarmee ondernemers hun cyberveiligheid kunnen checken. Hoewel ze positief waren, ontdekten zij ook verbeterpunten in hun systeem.
Er bestaan voldoende veiligheidskleppen om digitale systemen mee te beschermen. Wie zich daarvan bewust is, kan een hoop ellende voorkomen. Den Bruinen: “Als de fictieve garagehouder waarover ik het had, een extern back-upsysteem had gehad, dan had hij wel bij zijn software gekund en had hij niet failliet hoeven gaan. Dit geldt ook voor de universiteit in Maastricht. Wanneer die een extern back-upsysteem had gehad, was het betalen van losgeld niet nodig om de sleutel tot het systeem te krijgen.’’
Passwords
Den Bruinen noemt een serie technische oplossingen om internetaanvallen te weren. Een goed password – ook op laptops – is essentieel. Het regelmatig aanpassen van dat password is eveneens belangrijk. “Daarnaast kan je een code naar je mobiel laten sturen als je je laptop opent,’’ zegt Den Bruinen. “Met die code kan je de laptop in. Een crimineel zou dus niets met je laptop kunnen, of hij moet ook je mobiel hebben gestolen.’’
Het instellen van firewalls of malwaredetectie om cyberaanvallen buiten te houden is nog zo’n praktische tip. En het uitvoeren van updates is noodzakelijk om de veiligheid te verbeteren. “Daar moet je niet nonchalant mee omgaan,’’ stelt Den Bruinen. “Doe je dat wel, dan kunnen anderen gemakkelijk bij je inbreken.’’
Tenslotte geeft hij mee ervoor te zorgen dat medewerkers alleen met autorisatie bij het systeem kunnen. “En zorg ervoor dat ze er niet meer bij kunnen als ze niet meer voor je werken.’’
Mensenhanden
Hoe vaak mensenhanden op linkjes klikken in spontaan geopende e-mails van onbekenden, is volgens Den Bruinen schrikbarend. Want een klik is voldoende om besmette bestanden in het systeem te krijgen. Waarmee maar helder wordt dat de menselijke factor een niet te onderschatten rol speelt voor de digitale bedrijfsveiligheid.
CEO-fraude bijvoorbeeld komt volgens de HSD-directeur regelmatig voor: Een crimineel doet zich voor als de baas van het bedrijf en geeft betaalopdrachten door. “Vaak gebeurt dit in rustige periodes op kantoor, als veel mensen afwezig zijn.’’ Cybercriminelen gebruiken zelfs het e-mail adres van de baas. ‘Spoofing’, heet dit in jargon. Medewerkers geloven oprecht dat zij mail van de baas lezen en menen zijn opdrachten uit te voeren.
Er bestaan zelfs technieken waarmee cybercriminelen de stem van een persoon kunnen kopiëren, weet Den Bruinen. “Zo bellen ze een bedrijf op om te vragen waarom een betaalopdracht nog niet is uitgevoerd. Medewerkers krijgen wel signalen dat iets niet klopt, maar weten niet precies wat. Bij zo’n gevoel is het beter de baas zelf even te bellen. Om te vragen of hij zojuist had gebeld. Dan weet je gauw genoeg hoe het zit. Maar medewerkers moeten hierop wel worden gewezen.’’
